Như đã phân tích ở phần trước, lý thuyết Bot Milkers là một lý thuyết hay trong việc theo dõi Botnet. Tuy nhiên, được đề xuất trong nghiên cứu theo dõi các hoạt động phát tán thư rác của mạng Botnet Mega-D nên các thành phần định nghĩa trong lý thuyết có phần hạn hẹp. Do đó, để có thể ứng dụng “Bot Milkers” trong việc theo dõi các mạng Botnet hiện nay, các khái niệm này cần được mở rộng và cải tiến. Trong mục này, đồ án sẽ tiến hành phân tích và mở rộng các khái niệm này. Bot Milkers – “Bot emulators without malicious side effects” tạm dịch là các Bot giả lập không chứa các thành phần phụ nguy hiểm.
Các Milkers này sẽ thực hiện “vắt”24 thông tin trên trên C&C Server của các mạng Botnet Mega-D. Ngụ ý của các tác giả muốn đề cập tới việc chỉ tập trung tới việc khai thác thông tin (spam templates, thông tin C&C Server ~ “sữa”) mà không chú ý tới việc thực thi các hành vi nguy hiểm của Bot (thu thập thông tin, tấn công từ chối dịch vụ v…v…). Mục đích của việc này chủ yếu là để hạn chế thiệt hại cho các môi trường giám sát, thứ hai là giảm thiểu các module cần xây dựng để đi giả lập. Với các Botnet Mega-D thì cách định nghĩa này là hoàn toàn lý tưởng vì các module trong các Bot này là hoàn toàn độc lập nhau và không đòi hỏi các giao tiếp trao đổi thông tin giữa các Bot với các thành phần điều khiển25.
Tuy nhiên, với rất nhiều các mạng Botnet hiện nay như các mạng Botnet SpyEye, Zeus … thì việc loại đi các module thực thi nguy hiểm có thể sẽ được các C&C 24 Động từ milk trong tiếng Anh được dịch ra tiếng Việt là “vắt” (sữa). Do đó mới có cái tên Bot Milkers.
Server đáp ứng đúng thông tin hoặc có thể bị các Bot Master đưa vào blacklist26. Kịch bản chủ yếu của dạng này là sử dụng các module thu thập thông tin để chuẩn bị thông tin đầu vào cho việc xác thực các thành phần của mạng Botnet.
Hình 18: Các Bot sử dụng thu thập thông tin để xác thực với Server điều khiển Thực hiện mở rộng Bot Milkers:
Nhìn nhận các thành phần nguy hiểm của Bot, trong một số trường hợp chúng ta vẫn có thể “đáp ứng được”. Với hình thức thu thập thông tin, chúng ta có thể đi “mô phỏng” các thông tin cần thiết để đáp ứng cho các Bot. Ví dụ như: Bot sử dụng thông tin hệ điều hành, thông tin cookie, thông tin tài khoản người dùng cho việc xác thực với các C&C Server chúng ta sẽ đi xây dựng và kiểm soát một tập các thông tin này, sau đó, sử dụng những thông tin này cho việc xây dựng các thành phần mô phỏng thu thập thông tin.
Lý thuyết Bot Milkers mở rộng giữ nguyên định nghĩa cũ là “Bot emulators without malicious side effects”, tuy nhiên xác định các loại hành vi chính của Bot bao gồm:
1. Các hành vi tấn công qua mạng: Đó là tấn công từ chối dịch vụ, quét khai thác lỗ hổng trên các máy tính khác, phát tán thư rác ...
2. Thu thập thông tin thông tin: các thông tin thường được hacker quan tâm đó là các thông tin tài khoản, thông tin bản quyền phần mềm …
3. Cài đặt, di trú trong máy tính nạn nhân: Sau khi “đột nhập” vào máy tính nạn nhân, Bot thực hiện các cài đặt và thay đổi nhằm mục đích duy trì hoạt động trong thời gian tới.
4. Phá hoại “cục bộ” máy tính nạn nhân: Thường là các module cố gắng đi chỉnh sửa các cấu hình có trên máy tính hiện tại, tạo điều kiện để Bot có thể 26 Danh sách đen - Danh sách bị từ chối, danh sách những Bot cần loại bỏ.
che giấu bản thân và âm thầm hoạt động.
5. Giao tiếp với C&C Server để cập nhật cấu hình điều khiển: Kết nối tới thành phần điều khiển, gửi nhận và cập nhật những cấu hình mới nhất cho các Bot. 6. “Anti-Tracking”: thi hành các kỹ thuật anti-debug, anti-reverse … nhằm
chống phá các hoạt động theo dõi Botnet, gây khó khăn cho người phân tích. … đồ án thực hiện cải tiến phương pháp xử lý cũ với các hành vi này, chứ không đơn thuần “loại bỏ các thành phần phụ nguy hiểm” nữa, trong đó:
Các thành phần gây thiệt hại cho máy tính người dùng (bao gồm cả nạn nhân và cộng đồng): Sẽ loại bỏ thành phần thực thi và chỉ thực hiện mô phỏng lại các thông điệp thông báo kết quả thực thi nếu cần thiết.
Loại bỏ các thành phần “Anti-Tracking”: vì đây là thành phần gây cản trở quá trình theo dõi.
Mô phỏng lại các giao tiếp của Bot với C&C Server: sẽ thực hiện mô phỏng giao thức, ngữ pháp liên lạc, mã hóa(nếu cần) … vì đây là thành phần chính trong việc theo dõi thông tin về Botnet.
Thực hiện “giả lập” thông tin “an toàn” với các thành phần khai thác thông tin hệ thống nhằm đáp ứng thông tin cho Bot thực thi.
Như vậy, ứng với mở rộng này, chúng ta có thể thấy các hành vi thuộc loại 6 như trên sẽ không được thực thi, tương tự các hành vi thuộc loại 1, 3, 4 cũng chỉ dừng ở mức ghi log, hoặc giả lập các kết quả gửi lên C&C Server, thành phần 2 sẽ được cung cấp thông tin qua các tập thông tin giả lập an toàn và thành phần giao tiếp 5 sẽ được xây dựng lại thông qua các “core” hỗ trợ mô phỏng các kịch bản kết nối của hệ thống.
Lý thuyết này sẽ được ứng dụng trong hai thành phần Analyzing và thành phần Tracking của hệ thống Botnet Tracking được đề xuất. Trong đó, ở thành phần thứ hai – Analyzing, lý thuyết Bot Milkers mở rộng đóng vai trò như một luật lọc các hành vi của Bot hỗ trợ tiền xử lý các phân tích của hệ thống trước khi chuyển sang thành phần Tracking , còn ở thành phần Tracking, lý thuyết Bot Milkers xác định mô hình một Tracker được sử dụng trong hệ thống theo dõi Botnet.
Hình 19: Sử dụng Bot Milkers để lọc các kết quả phân tích, xây dựng kịch bản Tracker
Hình 20: Lọc hành vi một Bot dựa vào luật Bot Milkers mở rộng